Czy naprawdę jesteśmy zgodni z HIPAA, czy po prostu ufamy obietnicom marketingowym? Cloud PACS wydaje się nowoczesny i wydajny, ale jedno przeoczone ustawienie może zniweczyć lata zaufania pacjentów.
Ta lista kontrolna jest przeznaczona dla osób, które żyją z tym napięciem. Może prowadzą Państwo radiologię, zarządzają IT lub są właścicielami rozwijającej się kliniki, która używa PostDICOM do przechowywania i przeglądania badań. Nie chcą Państwo mglistych zapewnień. Chcą Państwo konkretnych pytań, które można przedstawić zespołowi i powiedzieć: odpowiedzmy na nie szczerze.
Wiele osób wpisuje w wyszukiwarkę hasła typu „lista kontrolna zgodności HIPAA dla usług w chmurze Cloud PACS za darmo” i ma nadzieję, że pojawi się idealny formularz. Żaden pojedynczy szablon nie zagwarantuje zgodności, ale ukierunkowany zestaw pytań może poprowadzić Państwa w stronę programu, który organy regulacyjne uznają za poważny.
Proszę traktować to jako opisową wersję pliku PDF z listą kontrolną zgodności HIPAA. Proszę skopiować pytania, które pasują, dostosować je do własnego otoczenia i przechowywać razem z oceną ryzyka.
Zanim sprawdzą Państwo ustawienia szyfrowania lub dzienniki dostępu, muszą Państwo wiedzieć, kim są w świetle HIPAA i gdzie faktycznie trafiają elektroniczne chronione informacje zdrowotne (ePHI).
Jeśli są Państwo kliniką, szpitalem lub centrum obrazowania, prawie na pewno są Państwo podmiotem objętym regulacją (covered entity). Jeśli przetwarzają Państwo obrazy dla innych, mogą Państwo również działać jako partner biznesowy (business associate). Zasada bezpieczeństwa (Security Rule) ma zastosowanie w obu przypadkach, jednak umowy i dokumentacja zmieniają się wraz z rolą. Czy wyraźnie odnotowaliśmy, jaką rolę odgrywamy w każdej linii biznesowej? Kiedy dział prawny, dział zgodności i dział operacyjny nas opisują, czy wszyscy używają tych samych słów? Jeśli nie, Państwa relacja z jakimkolwiek dostawcą Cloud PACS już opiera się na niepewnych podstawach.
Proszę prześledzić drogę pojedynczego badania od skanera do archiwum. Gdzie trafia najpierw? Które bramki, przeglądarki i punkty końcowe w chmurze mają z nim styczność? Kiedy PostDICOM przechowuje to badanie, kto może do niego dotrzeć, z jakich lokalizacji i po jakich etapach logowania? Czy mamy aktualny schemat pokazujący, jak obrazy trafiają do naszego Cloud PACS i z powrotem, w tym do bibliotek dydaktycznych i eksportów? Czy tymczasowe miejsca przechowywania, takie jak pamięci podręczne stacji roboczych, urządzenia mobilne lub pobrane pliki ZIP, są częścią tego obrazu, czy też udajemy, że nie istnieją?
Oficjalne podsumowanie HHS dotyczące zasady bezpieczeństwa kładzie nacisk na zrozumienie, gdzie tworzone, odbierane, przechowywane i przesyłane są elektroniczne chronione informacje zdrowotne, ponieważ zabezpieczenia muszą obejmować wszystkie te punkty, nie tylko główne archiwum.
Organy regulacyjne są elastyczne w kwestii narzędzi i surowe w jednej kwestii. Muszą Państwo przeprowadzić analizę ryzyka i aktualizować ją wraz ze zmianami systemów. NIST SP 800 66, który przekłada Zasadę Bezpieczeństwa na praktyczne kroki, umieszcza analizę ryzyka w centrum programu zgodności.
Szybka autoweryfikacja:
Czy zidentyfikowaliśmy konkretne zagrożenia dla naszego Cloud PACS, takie jak błędna konfiguracja, skradzione dane uwierzytelniające i awarie dostawcy, i czy zapisaliśmy je? Czy oceniamy te ryzyka według prawdopodobieństwa i wpływu oraz łączymy je z konkretnymi środkami kontroli, czy po prostu utrzymujemy statyczną listę na pokaz?
Czy nasze pisemne procedury kontroli dostępu, zasady niezbędnego minimum i reagowania na incydenty wyraźnie odnoszą się do naszego Cloud PACS i przepływów pracy związanych z udostępnianiem obrazów? Jeśli technik chce udostępnić obrazy lekarzowi zewnętrznemu, czy potrafi opisać zatwierdzoną metodę korzystającą z PostDICOM, czy po cichu wraca do doraźnych narzędzi i prywatnej poczty e-mail? Kiedy polityki, szkolenia i codzienne nawyki są spójne, decyzje personelu zaczynają wzmacniać zgodność, zamiast po cichu ją podważać.
Każda usługa w chmurze, która przechowuje lub przesyła dla Państwa elektroniczne chronione informacje zdrowotne, musi podpisać umowę o współpracy biznesowej (BAA). HHS publikuje wytyczne dotyczące chmury, które wyjaśniają, co powinno być objęte umową, gdy polegają Państwo na dostawcach usług w chmurze. Wytyczne HHS dotyczące chmury obliczeniowej w kontekście HIPAA (HHS). Czy Państwa umowa z PostDICOM określa obowiązki w zakresie bezpieczeństwa, terminy powiadamiania o naruszeniach oraz sposób zwrotu lub usunięcia danych po zakończeniu umowy? Czy istnieją sprzeczności między tą umową a jakimikolwiek standardowymi warunkami świadczenia usług (TOS) lub umowami o gwarantowanym poziomie świadczenia usług (SLA), które mogłyby wywołać zamieszanie podczas incydentu?
Platformy Cloud PACS zazwyczaj zapewniają szyfrowanie w transporcie, szyfrowanie w spoczynku i kontrolę dostępu opartą na rolach. PostDICOM został zaprojektowany tak, aby być zgodnym z HIPAA i RODO, z danymi zaszyfrowanymi i chronionymi przed nieautoryzowanym dostępem. To mocny punkt wyjścia, jednak konfiguracja pozostaje Państwa odpowiedzialnością. Czy wszystkie połączenia z PACS są ograniczone do bezpiecznych protokołów, a starsze lub testowe interfejsy są w pełni wyłączone? Czy konta uprzywilejowane używają silnego uwierzytelniania, najlepiej wieloskładnikowego, i czy szybko odbierają Państwo dostęp, gdy ktoś zmienia rolę lub odchodzi z pracy? Ile kont nadal istnieje dla osób, które już z Państwem nie współpracują, tylko dlatego, że nikt nie pilnuje listy kontrolnej offboardingu?
 - Created by PostDICOM.jpg)
Systemy Cloud PACS są bardzo dobre w logowaniu zdarzeń. Problemem nie jest brak danych. Jest nim brak uwagi. Czy widzą Państwo, kto przeglądał, pobierał lub udostępniał badanie, oraz z jakiego urządzenia lub sieci to robił? Czy wysyłają Państwo niezbędne logi do centralnej platformy monitorowania, czy żyją one w konsoli dostawcy tylko do momentu, aż coś pójdzie nie tak? Jeśli nie potrafią Państwo odpowiedzieć na proste pytanie o dostęp do konkretnego badania, będą mieli Państwo trudności z przekonującą odpowiedzią na skargi pacjentów lub zapytania organów regulacyjnych.
Incydenty są wystarczająco stresujące bez improwizacji. Proszę wyobrazić sobie, że technik przypadkowo udostępnia badanie niewłaściwemu lekarzowi lub laptop z zapisanymi w pamięci podręcznej obrazami zostaje skradziony z samochodu. Czy w tym momencie każdy wie, co robić? Państwa wewnętrzna lista kontrolna zgodności HIPAA w formacie PDF powinna zawierać co najmniej trzy odpowiedzi. Kto kieruje dochodzeniem i kogo musi powiadomić. Jakie systemy i dzienniki należy przejrzeć, aby zrozumieć zakres zdarzenia? Jak decydują Państwo, czy zdarzenie jest naruszeniem podlegającym zgłoszeniu, i jak będzie przebiegać komunikacja z organami regulacyjnymi i pacjentami, jeśli tak jest?
Teraz powinno być już jasne, że poważna lista kontrolna zgodności HIPAA dla Cloud PACS to nie tyle odhaczanie pól, co zadawanie celnych pytań. Kuszące jest poleganie wyłącznie na zapewnieniach dostawcy, jednak organy regulacyjne oczekują, że wykażą Państwo, jak te zapewnienia przekładają się na polityki, kontrole i dowody w Państwa własnym środowisku.
Mogą Państwo przekształcić powyższe sekcje w prostą tabelę, wyeksportować ją jako plik PDF z listą kontrolną zgodności HIPAA do użytku wewnętrznego i przeglądać ją wraz z analizą ryzyka każdego roku.
Dla zespołów korzystających z PostDICOM dobrą wiadomością jest to, że platforma łączy przystępny cenowo Cloud PACS, bezpieczne przechowywanie w chmurze i internetową przeglądarkę DICOM w jednym miejscu, z dużą przestrzenią startową dla nowych użytkowników. Oznacza to, że mogą Państwo spędzać mniej czasu na dbaniu o stare lokalne serwery, a więcej na budowaniu jasnej, możliwej do obrony historii zgodności wokół nowoczesnej usługi w chmurze.
Ostatecznie główne pytanie jest proste. Kiedy nadejdzie kolejny list audytowy, woleliby Państwo nerwowo przeszukiwać skrzynki odbiorcze i stare notatki ze spotkań, czy spokojnie otworzyć dokument, który dokładnie pokazuje, jak Państwa Cloud PACS chroni elektroniczne chronione informacje zdrowotne? Praca, którą włożą Państwo w tę listę kontrolną dzisiaj, zadecyduje o tym, którą z tych historii będą mogli Państwo opowiedzieć.
|
Cloud PACS i przeglądarka DICOM onlinePrzesyłaj obrazy DICOM i dokumenty kliniczne na serwery PostDICOM. Przechowuj, przeglądaj, współpracuj i udostępniaj swoje pliki obrazowania medycznego. |
